• 13/12/2025
ALERTA

Webmail o mail corporativo: ¿cuál es más seguro para enviar un correo electrónico?

A la hora de mandar un mensaje el usuario puede plantearse la duda sobre cuál es el más confiable. iProfesional.com consultó a expertos que aclaran el tema
iProfesional | Tecnología |
Por iProfesional
18/05/2010 - 22:22hs
Webmail o mail corporativo: ¿cuál es más seguro para enviar un correo electrónico?

Al momento de enviar un mensaje por correo electrónico que contiene información confidencial o de gran importancia para su actividad laboral, profesional o empresarial, ¿cuál es el medio más seguro? ¿La casilla que dispone la organización donde usted trabaja, también conocida como el mail corporativo, o los populares servicios de correo basados en la Web, como el Hotmail de Microsoft, el Yahoo Mail o el Gmail de Google?

iProfesional.com entrevistó a consultores en seguridad informática y a representantes de los principales proveedores de e-mail que se usan a través de la web, para saber acerca de la seguridad del correo electrónico en sus diferentes entornos.

¿Es más seguro un e-mail corporativo o uno externo, basado en la Web, para enviar mensajes confidenciales? Hay varias respuestas posibles, así­ como matices y variables para contemplar. "Siempre que se habla de mensajes confidenciales, se supone que un servidor de correo corporativo tiene muchas más ventajas frente a un servicio basado en Web. Pero todo depende de la cantidad de recursos que se asignen a mantener ese servidor corporativo seguro", observó Maximiliano Cittadini, especialista en Servicios de la empresa de seguridad informática Trend Argentina.

"Obviamente, cuando un empleado de una empresa quiere enviar un correo con un alto grado de confidencialidad es preferible que éste sea enviado en el ámbito de la red local corporativa y no desde un acceso a Internet", señaló.

¿Por qué esta elección? "En el ámbito de la LAN (una red de área local, la sigla en inglés), el administrador de la red puede asegurar la transacción del correo", señaló Cittadini, quien aprovechó para apuntar contra "la mayorí­a de los servicios de webmail, o al menos los más prestigiosos, que dedican mucho tiempo, dinero y esfuerzo a reforzar la seguridad de sus servicios. Así­ y todo, casos como el del robo de octubre de 2009, en donde se publicaron más de 10.000 contraseñas de distintas cuentas de Hotmail, hacen que estos servicios retrocedan a pasos agigantados en la fiabilidad de su seguridad".

image placeholder

Cristian Borghello, director de Educación para ESET Latinoamérica (en la foto a la derecha), recordó que "los protocolos responsables de obtener y enviar correos electrónicos son siempre los mismos y fueron desarrollados en una época (década del ‘70) en donde la seguridad y la privacidad no fueron tenidas en cuenta sino que se buscaba tener mejores y más formas de comunicación".

Para este consultor en seguridad informática, la seguridad y privacidad del correo, sea corporativo o personal, dependerá de los siguientes factores:

  • La seguridad impuesta en los protocolos (cómo se protege el mensaje al ser transmitido).
  • Las vulnerabilidades potencialmente existentes en las aplicaciones utilizadas para su lectura/escritura en el punto final (la computadora del usuario).
  • La forma de almacenamiento de los datos recibidos.
  • El uso que el usuario haga de las caracterí­sticas de protección existentes.

"La seguridad final y la protección del correo dependerán de la correcta combinación y balance entre las mejores opciones disponibles, siendo cualquiera de las dos tan seguras o inseguras como la mejor o peor combinación respectivamente", dijo Borghello. Así­, combinando estas variables, "puede existir un correo corporativo que sea más vulnerable que uno Web, simplemente porque la transmisión de la información se realizó en forma no cifrada. O puede darse que un correo Web utilice canales cifrados, pero el usuario no los utilice o los almacene en un medio inseguro", precisó. Por ejemplo, un disco sin protección o un sistema operativo sin contraseñas.

image placeholder

Jorge Cella, gerente de Iniciativas de Seguridad y Privacidad de Microsoft para la Argentina y Uruguay, (a la izquierda, en la foto) reconoció que "uno de los principales beneficios de un correo corporativo es la posibilidad de incrementar al máximo los niveles de seguridad de sus tecnologí­as. Esto implica que cualquier empresa que maneja información sensible, y de acuerdo al grado de confidencialidad que necesita, puede aplicar diferentes herramientas de seguridad para mantener la confidencialidad de sus datos".

El ejecutivo de la mayor empresa de software del mundo, que sólo en la Argentina tiene 14,3 millones de usuarios de Hotmail, remarcó sin embargo la importancia de que las empresas "instauren procesos de seguridad y concienticen a su personal sobre el cuidado en el manejo de información crí­tica".

Riesgos en la Web
¿Cuáles son los peligros y riesgos que acechan a un webmail? Alejandro Fishman, gerente general de Yahoo Argentina, contraatacó en su respuesta: "Los peligros y riesgos no son inherentes al webmail. Tanto un mail corporativo como en un webmail están en las mismas condiciones. Si alguien está buscando hacer daño, las dos cosas están a la misma altura".

Borghello coincidió en parte: "El webmail tiene los mismos riesgos que cualquier otro tipo de correo con dos salvedades importantes: el usuario no debe instalar ninguna aplicación lo cual es una ventaja; y se depende del medio de almacenamiento brindado que provee el correo, lo cual puede plantear un problema de confidencialidad. Sin embargo, en el caso corporativo ésto se puede resolver con contratos adicionales".

Respecto a las amenazas disponibles para uno y otro caso, el consultor de ESET afirmó que "es indistinto ya que los atacantes buscan inundar de spam, phishing y malware cualquier tipo de casilla, sin importar la forma de uso que el usuario haga del mismo". Para Borghello, es importante que el usuario comprenda que "cualquiera pueda ser vulnerable a engaños que buscan afectar su privacidad y, en el caso de las compañí­as, puede dañar la imagen o exponerlas a pérdidas de información confidencial poniendo en peligro el negocio".

Cella distingue entre el webmail gratuito y el webmail corporativo. Este último, según el ejecutivo de Microsoft, "cuenta con la tecnologí­a para mantener los más altos niveles de seguridad. Por ejemplo, una empresa que tiene un servicio de Exchange en la nube y accede a su mail a través de la Web, cuenta con protección antivirus y antispam. Además, tiene la capacidad de codificar los mensajes en base al remitente, al receptor o incluso el contenido de los mensajes y archivos adjuntos".

¿Y respecto a los webmails gratuitos? En el caso de Hotmail está basado en los parámetros de privacidad y administración de datos corporativa y por ende cumple con los más altos estándares de seguridad, respondió Cella. "Nuestra recomendación a las empresas es cuidar su seguridad con proveedores que les brinden herramientas confiables que les permitan protegerse y elevar sus niveles de seguridad. También aconsejamos a los usuarios que conozcan las polí­ticas de seguridad y privacidad que su proveedor le brinda".

image placeholder

Cittadini (en la foto, a la derecha) tiene otra visión: señaló que los servicios de webmail "no dejan de ser ni más ni menos que sitios web, con lo cual, en mayor o menor grado, heredan todos los riesgos de seguridad vistos y analizados en distintos sitios web".

Para el ejecutivo de Trend Argentina, los ataques más comunes orientados a los webmails se encuentran relacionados con "la obtención de las credenciales utilizadas para autentificar a los usuarios en el servicio". Algunos de los ataques más comunes que pueden encontrarse los usuarios de este tipo de servicios consisten en:

  • Keyloggers: son piezas de software malicioso que cuando se encuentran en un equipo tienen la capacidad de capturar todas las teclas que son tipeadas por la ví­ctima, capturando de esta manera la combinación de usuario/contraseña utilizado para ingresar al webmail.

  • Phishing/pharming: es un ataque que consiste en redirigir a la ví­ctima a un sitio falso, con idéntica apariencia al sitio legí­timo, para que el usuario ingrese sus credenciales en dicho sitio y de esta manera sean enviadas al atacante.

  • Ataques de cross-site script (XSS): permiten al atacante colocar su propio código o software en una web legitima, obteniendo de esta manera acceso a todo lo que usuario realice dentro del sitio legitimo.

image placeholder

Desde Google, Gastón Ansaldo, ingeniero de ventas empresarias del gigante de la red, salió a defender al webmail, al destacar que es "una arquitectura con mucho más potencial para ser más segura que un mail interno" en una organización. Recordó en este último caso que el mensaje se descarga en los sistemas de la empresa y se mantiene allí­, con los riesgos que esto conlleva si se trata de un virus o un código malicioso. En cambio, si se usa un webmail, "al final del dí­a en mi PC no quedó nada".

Precauciones
¿Cuáles son las precauciones que debe tomar en cuenta el usuario al utilizar un webmail? "Definitivamente no compartir la información de su cuenta con nadie", dijo categórico Fishman (en la foto superior).

Por su lado Cittadini enumeró los siguientes consejos:

  • Tener el sistema operativo actualizado con los últimos parches de seguridad: "Esto disminuye la posibilidad que el equipo se infecte con virus u otros códigos maliciosos y estos instalen keyloggers para capturar su usuario y contraseña".

  • Tener un antivirus actualizado: este software elimina y limpia aquellas amenazas que pudieran encontrase en el equipo o aquellas que intenten ingresar. Muchos de los softwares antivirus cuentan con distintos filtros y tecnologí­as que logran bloquear el arribo de phishing o sitios fraudulentos.

  • Tipear siempre la dirección del servicio de webmail que se esté por utilizar, nunca utilizar links provenientes de correos electrónicos o de mensajes instantáneos.

Desde ESET, Borghello agrega que cuando un usuario utiliza Web mail debe asegurarse que toda la comunicación entre el cliente (su sistema) y el servidor donde se alojan los correos y la plataforma Web se realice de forma cifrada.

La mayorí­a de los webmails actuales admiten comunicación a través del protocolo HTTP y HTTPS y, en el caso de estar disponible, se debe utilizar el último, otorgando de esta forma al correo la misma seguridad que una transacción bancaria o financiera.

Además, siempre se debe cerrar la sesión (logout) del webmail antes de dejar de utilizarlo, lo cual evita que otras personas accedan al mismo u obtengan información que pueda ser utilizada para leer correo confidencial.

Borghello advirtió que los webmails actuales cuentan con sistemas de antispam que prácticamente no pueden ser configurados por el usuario.

Por lo tanto, es posible que correo no deseado se filtre lo cual represente un riesgo para el usuario. También es posible que el correo deseado sea eliminado o enviado a la bandeja de spam. "En ambos casos el usuario deberá prestar atención para no abrir un correo dañino o perder un correo esperado".

Responsabilidades del proveedor
¿Cuáles son las medidas de seguridad mí­nimas que debe tener un webmail, por el lado del proveedor? Por ejemplo, en polí­tica de contraseñas, conexiones seguras, cifrado de datos, etc.

Cittadini continuó abonando su visión crí­tica sobre los proveedores: "Existen sitios que exigen contraseñas seguras, las cuales terminan siendo difí­ciles de recordar para el usuario y terminan escritas en un papel, por lo cual la seguridad termina siendo inútil".

Puesto a enumerar las medidas, resumió que "brindar una conexión segura, le da la tranquilidad al usuario de saber que todo lo que sea enviado y recibido desde ese sitio Web no puede ser leí­do o capturado por alguien más".

Borghello sintetizó así­: cifrado de datos al transportar el mail, lo cual se traduce en la utilización del protocolo HTTPS; y el uso de contraseñas fuertes basada en la cantidad de caracteres y su combinación.

"En el caso de los webmail corporativos esto lo puede exigir la compañí­a por polí­tica expresa pero en el caso de los correos de uso masivo, no se implementa demasiado aunque se suele informar sobre la fortaleza de la contraseña para que el usuario decida", advirtió. Lo mismo sucede con el cambio de contraseña cada cierto perí­odo de tiempo.

"Serí­a deseable también que el Web mail informe desde donde se realizaron las conexiones y la fecha y horario de dicha conexión", agregó. Se trata de una caracterí­stica disponible en GMail. "De esta forma el usuario puede advertir si alguien ha ingresado a su correo".

En cuanto al uso de preguntas y respuestas como método de recordatorio, para el analista de ESET "es poco eficiente si el usuario utiliza datos conocidos o de fácil acceso para terceros que puedan conocerlos. Por ejemplo, tenemos el caso de Paris Hilton y su pregunta sobre el nombre de su mascota que todos sus fanáticos conocí­an".

Ansaldo, de Google, puso como ejemplo lo que ofrece Gmail: "Le alertamos al usuario si hubo actividad desde alguna ubicación IP diferente a la que donde habitualmente se conecta". En la versión para empresas de este servicio de correo electrónico, el uso de contraseñas de acceso se refuerza con algunos sistemas adicionales. Y en todos los casos, cuando se genera por primera vez la clave, se indica su fortaleza.

Inseguridad en el ciber
Muchas veces, el usuario debe utilizar su webmail desde una computadora de uso compartido, como en los locutorios y cibercafés. En esos casos, ¿cuáles son las medidas de seguridad que deben tomarse antes, durante y después de usar el webmail en esos ambientes? Desde Yahoo, Fishman recordó consejos básicos pero imprescindibles: "No compartir la información de la clave personal, utilizar computadoras confiables, asegurarse de cerrar la sesión sobre la que están trabajando".

Borghello manifestó una postura más radical: "No se deberí­a hacer uso de esta alternativa ya que la información sensible o confidencial podrí­a ser almacenada en sistemas de terceros sin el consentimiento del usuario, lo cual en caso de correo corporativo (por webmail) representa un riesgo elevado".

¿Pero si así­ y todo el usuario decide utilizarlo? Para el consultor de ESET, debe aplicar "el acceso cifrado al correo, intentar el uso de contraseñas fuertes, no utilizar el recordatorio de campos/contraseñas que los navegadores poseen ya que si alguien accede posteriormente podrá ver los datos previamente ingresados y, siempre cerrar la sesión antes de abandonar el correo".

Como medida adicional recomendó utilizar el uso del modo privado de navegación que proveen algunos navegadores, como el Internet Explorer, o eliminar los datos almacenados en los archivos temporales, cookies, y los posibles archivos adjuntos que se hayan descargado al equipo.

Otra medida de seguridad es chequear que la computadora utilizada provea medidas de seguridad básicas (como antivirus) ya que si se descarga un archivo adjunto dañino y se lo copia en un dispositivo removible, como un "pendrive", éste podrí­a ser transportado e infectar otras computadoras.

Cittadini agregó a estas recomendaciones la siguiente: "No dejar la información de ingreso en el equipo". Recordó al respecto que muchos de los servicios de webmail permiten dejar al usuario "permanentemente ingresado" dentro del sistema. Se trata de una caracterí­stica peligrosa en locutorios o cibercafés, porque deja "mucha información en el equipo que puede ser fácilmente recuperada por alguien más". Por eso hay que "deshabilitar este tipo de opciones y asegurarse de cerrar la sesión cuando se termina de utilizar el servicio".


César Dergarabedian
© iProfesional.com